Белый хакер Cyber Security🧑🏻‍💻

🛡 Magika 1.0 от Google: Новый уровень в определении типов данных Сегодня расскажу вам об одном крутом релизе от Google — Magika 1.0, инструментарии для определения типа содержимого файлов с помощью машинного обучения. Это не просто обычный инструмент для определения MIME-типа, а полноценная система, которая распознает даже самые сложные типы данных, такие как языки программирования, форматы видео и аудио, а также установочные пакеты и даже код для нейросетей.

👨‍💻 В отличие от старых систем, где определения происходят по заранее заданным правилам, новая прога использует методы глубокого обучения. На 100 млн примерах, в том числе из Gmail и Google Drive, Magika обучалась с использованием фреймворка Keras, а теперь распознает аж 200 типов данных. Что интересно, благодаря переписанному движку на Rust, точность возросла на 50% по сравнению с предыдущими версиями. Время обработки одного файла — всего 5 мс. Я бы сказал, почти моментально.

⬆️ Для интеграции с другими проектами разработчики могут использовать готовые пакеты для Python, Rust, Go и JavaScript/TypeScript. А еще есть командная строка для работы с несколькими файлами за один раз. Плюс, Magika поддерживает режимы, которые позволяют настраивать степень уверенности в прогнозах, в зависимости от того, насколько важен файл для тебя. ❕ Если вернуться к техническим подробностям. Magika сейчас поддерживает файлы, включая AutoCAD, Photoshop, SQLite, и даже WebAssembly и Solidity. Если ты работаешь с чем-то из этого, теперь у тебя есть инструмент для точной и быстрой идентификации. P. S Если ты админ, работающий с безопасностью, мне кажется, что Magika точно тебе пригодится. Она точно сделает процесс фильтрации и проверки файлов значительно быстрее. #Google #Magika #AI 👍 Белый хакер

🔔 Критический RMI-баг в Cisco UCCX Привет, читая заметку про CVE-2025-20354, я подумал: вот оно — классическое «всё плохо и срочно патчить». Вкратце — в Cisco Unified Contact Center Express нашли критическую дыру в Java RMI-компоненте, которая позволяла неаутентифицированному атакующему загрузить файл и выполнить команды с правами root. Параллельно закрыли ещё одну критическую уязвимость в CCX Editor (CVE-2025-20358), где можно было «обмануть» аутентификацию и запустить админ-скрипты.

👨‍💻 Технически — дело в кривой имплементации RMI-аутентификации и в логике обработки потоков аутентификации в редакторе скриптов. RMI принял «загрузку» как легитимную, и злоумышленник получал возможность десериализовать/запустить payload на хосте; в Editor — редирект аутентификации на зловредный сервер. Оценки CVSS — 9.8 и 9.4, то есть почти максимум. Cisco уже выпустила патчи: для 12.5 SU3 — 12.5 SU3 ES07, для 15.0 — 15.0 ES01. Также закрыты несколько уязвимостей, ведущих к повышению привилегий и раскрытию данных, и баг в ISE, приводящий к DoS.

🗣 Мой совет — запланируй экстренный maintenance: применяй рекомендованные ES-версии, проверь логи RMI/CCX Editor на попытки загрузок и необычные подключения, включи мониторинг целостности файлов и контроль доступа к интерфейсам управления UCCX. Если пока не можешь патчить — ограничь доступ к management-интерфейсам через VPN/ACL, выключи ненужные сервисы и усили MFA для админов. Да, Cisco пока не видит публичных эксплоитов в дикой природе — но это только повод не откладывать обновление, а не расслабляться. P. S Я лично видел случаи, когда «маленький» RMI-баг превращался в полный pwn за пару часов — держи цепочку поставок патчей готовой и проверяй rollback-планы. #Cisco #CVE2025 👍 Белый хакер

👤 Вымогатели изнутри: экс-специалисты по безопасности устроили взломы для BlackCat Всем привет! Трое бывших специалистов по расследованиям инцидентов и переговорам с вымогателями попались на том, что они сами стали частью преступной схемы. По данным Министерства юстиции США, Кевин Тайлер Мартин, Райан Клиффорд Голдберг и их сообщник обвиняются в участии в взломах, проведенных хакерской группировкой BlackCat (ALPHV). Эти ребята, ранее работавшие в компаниях, занимающихся расследованием инцидентов, решили обогатиться на вымогательских атаках.

👨‍💻 Как это обычно бывает с такими делами, хакеры сначала взламывали сети крупных американских компаний, крали данные и запускали шифровальщики. После этого они требовали выкуп в криптовалюте, угрожая не только потерей данных, но и разглашением украденной информации. Одним из самых громких эпизодов было требование выкупа в 10 миллионов долларов от пострадавших организаций, однако только одна компания (производитель медицинского оборудования) согласилась заплатить — 1,27 миллиона долларов. Скажу так, это не самые большие деньги, если сравнивать с общей суммой выкупов от BlackCat, которые, по данным ФБР, уже превышают 300 миллионов долларов.

🗣 И вот тут приходит главный вопрос: как три эксперта, которые в теории должны были защищать компании от таких атак, стали частью этого процесса? Я думаю, что это не редкость в мире безопасности. Проблема не в технологии, а в людях, и такие инциденты нам напоминают, как важно быть внимательными даже к тем, кто находится внутри системы. P. S Если ты работаешь в области безопасности, помни, что защита компании — это не только защита от внешних угроз. Инсайдеры — это всегда скрытая опасность, и доверять нужно не только программному обеспечению, но и людям, с которыми ты работаешь. #BlackCat #insiders #crime 👍 Белый хакер

💼 Operation SkyCloak: шпионская атака на оборонный сектор России и Беларуси На этот раз в мир киберугроз пришла новая, продвинутая операция — Operation SkyCloak. Эксперты Cyble и Seqrite Labs обнаружили, что злоумышленники нацелены на оборонный сектор в России и Беларуси, применяя хитрые техники скрытного доступа через OpenSSH и скрытые Tor-сервисы с использованием обфускации трафика через obfs4. Цель атаки — длительное поддержание контроля над заражёнными системами.

👨‍💻 Атаки начинаются с фишинговых писем, в которых содержатся архивы с вредоносным контентом. Первым шагом заражения становится открытие LNK-ярлыков, которые запускают цепочку PowerShell-команд. Эти команды, в свою очередь, настраивают систему на подключение к .onion-адресам, обеспечивая скрытую связь с внешними серверами.

👤 Самым интересным в этой атаке является то, как она избегает обнаружения: с помощью проверок, например, на количество ярлыков в системе и активность процессов, вредонос скрывается от песочниц, в которых обычно анализируют вредоносные программы. Для более надежного контроля за скомпрометированными машинами используются перенаправление портов для доступа к критическим системам, включая RDP, SSH и SMB. P. S Если твоя система используется для работы с конфиденциальными данными и не настроена на мониторинг скрытых Tor-сервисов, то пора задуматься о защите от таких атак. #SkyCloak #Безопасность #Tor 👍 Белый хакер

🗣 CHERIoT 1.0: новая эпоха в защите устройств и памяти Привет, появилась новая платформа — CHERIoT 1.0, созданная для повышения безопасности на уровне аппаратного и программного обеспечения. Этот проект, разработанный Microsoft, решает важную задачу защиты устройств, созданных на RISC-V архитектуре, от угроз, связанных с некорректной работой с памятью и указателями.

⏺ Основное преимущество CHERIoT — это интеграция безопасности на уровне операционной системы, которая полностью совместима с существующими приложениями, написанными на языках C/C++. Это значит, что разработчики могут использовать новую платформу для защиты уже работающих систем без необходимости переписывать код.

💬 Этот проект, наряду с аппаратными компонентами, такими как RISC-V процессор Ibex, и поддержкой инструментария LLVM, является важным шагом в направлении создания более безопасных встраиваемых систем. Платформа также включает в себя эмулятор и Docker-контейнер для разработчиков, что делает её доступной для более широкого круга специалистов. P. S Для разработчиков, работающих с встраиваемыми системами, использование CHERIoT — это шанс повысить безопасность без значительных изменений в коде. Убедитесь, что ваши устройства работают на поддерживающих эту платформу процессорах! #CHERIoT #Безопасность #Microsoft 👍 Белый хакер

👩‍💻 Всем программистам посвящается! Вот 17 авторских обучающих IT каналов по самым востребованным областям программирования: Выбирай своё направление: 🤔 InfoSec & Хакинг — t.me/hacking_ready 👩‍💻 Python — t.me/python_ready 🖥 Data Science — t.me/data_ready 👩‍💻 Linux — t.me/linux_ready 🖼️ DevOps — t.me/devops_ready 👩‍💻 Bash & Shell — t.me/bash_ready 🖥 SQL & Базы Данных — t.me/sql_ready 🤖 Нейросети — t.me/neuro_ready 🐞 QA-тестирование — t.me/qa_ready 👩‍💻 C/C++ — https://t.me/cpp_ready 👩‍💻 C# & Unity — t.me/csharp_ready 📱 GameDev — t.me/csharp_ready 👩‍💻 Java — t.me/java_ready 👩‍💻 IT Ресурсы — t.me/it_ready 📖 IT Книги — t.me/books_ready 👩‍💻 Frontend — t.me/frontend_ready 📱 JavaScript — t.me/javascript_ready 👩‍💻 Backend — t.me/backend_ready 📱 GitHub & Git — t.me/github_ready 📁 IT Факты — t.me/it_facts 🖥 Design — t.me/design_ready 📌 Гайды, шпаргалки, задачи, ресурсы и фишки для каждого языка программирования!

🔴 Два новых исследования по безопасности LLM: как бороться с инъекциями и уязвимостями Привет, недавно мне в руки попались два интересных исследования, которые бросают свет на проблемы безопасности в системах с использованием LLM, особенно с точки зрения prompt injection. Мы все сталкиваемся с теми или иными уязвимостями в процессе работы с ИИ и его интеграцией. ⏺ Правило двух агентов: В недавней статье от Meta AI исследователи предлагают довольно простую и понятную концепцию — Rule of Two. Суть в том, что любой ИИ-агент, взаимодействующий с неблагонадежными данными, не должен одновременно иметь доступ к чувствительным данным и возможности изменять состояние системы или выходить в сеть. Иначе ты рискуешь подвергнуть систему атакам через prompt injection. То есть, если у агента есть два из этих трех свойств, он должен работать под строгим контролем. ⏺ Адаптивные атаки и недостатки защиты: Второе исследование посвящено более мощным атакам на prompt injection. Исследователи тестировали 12 популярных методов защиты. Почти все они были обойдены с помощью адаптивных атак, в том числе с использованием reinforcement learning и градиентных методов. Это показывает, насколько уязвимы современные защиты от инъекций в LLM, и почему нам еще предстоит долгий путь до надежной защиты.

👨‍💻 И тут Meta с Rule of Two — это, пожалуй, самое разумное решение на текущий момент. Пока не появятся по-настоящему эффективные методы защиты от инъекций, мы будем вынуждены работать с ограничениями и строго контролировать, что может делать ИИ.

P. S Если ты тоже работаешь с AI, всегда проверяй, какие данные обрабатывает система и имеет ли она доступ к критичной информации. Иногда лучше больше внимания уделить проверке безопасности на старте, чем потом бороться с последствиями. #LLM #PromptInjection #Безопасность 👍 Белый хакер

Китайская хак-группа Mustang Panda атакует через уязвимость в ярлыках LNK Всем привет! Хакеры из Китая, известные как Mustang Panda (или UNC6384), снова в деле. И теперь они используют давно известную уязвимость CVE-2025-9491 в Windows для проведения масштабных атак. Я сейчас расскажу, что происходит и как защититься.

👨‍💻 Все началось с того, что группа начала атаковать дипломатические и правительственные структуры Европы — Венгрию, Италию, Нидерланды и т. д. Это таргетированные фишинговые письма с LNK-файлами, которые могут выглядеть как приглашения на мероприятия Еврокомиссии или НАТО. Если ты открываешь такой файл — привет, PowerShell, который начинает вытаскивать вредоносные архивы. Классическая схема с PlugX, которая может дать хакерам полный контроль над твоей системой.

❕ Вкратце, уязвимость позволяет скрывать вредоносные команды в ярлыках с помощью пробельных отступов в структуре COMMAND_LINE_ARGUMENTS. Это позволяет запускать произвольный код, а всё остальное уже по стандарту — архив с малварью, установка через DLL side-loading, и вот уже твой компьютер под контролем злоумышленников. 👀 Что делать? В первую очередь, отключи открытие LNK-файлов, если это возможно. Эти атаки используют старую уязвимость, которая всё ещё не починена в Windows, хотя Microsoft обещает её исправить. P. S Даже если ты не работаешь с государственными структурами, я рекомендую быть осторожным при открытии любых файлов, особенно из ненадежных источников, тем более из фишингового письма. #MustangPanda #Безопасность #Windows 👍 Белый хакер

📱 DeliveryRAT обновился — теперь это и стилер, и DDoS‑оружие Всем привет! Я посмотрел в разбор новой версии DeliveryRAT и это уже не просто мобильный стилер. Авторы добавили модуль для DDoS, динамические фишинговые UI‑окна и массовую рассылку SMS. Если ты работаешь с мобильной безопасностью или просто юзаешь телефон для банков, то обрати внимание!

⚙️ Пару фактов по‑техничке: троян держит постоянный WebSocket к C2, умеет перехватывать и скрывать SMS/push, выполнять USSD и сохраняться через BootReceiver. Новая фича — получение URL и параметров для DDoS‑флудa (статистика попыток отправляется обратно на сервер). Плюс динамические активности — подделанные формы Card/Custom/Photo/QR/Text, которые запускаются удалённо и выглядят как часть legit‑приложения. Наконец, массовая рассылка по контактам превращает смартфон в спам‑ракету для дальнейшего распространения.

💬 Что делать прямо сейчас (я бы так сделал): • Проверь установленные приложения — особенно те, что маскируются под Delivery, Ozon, Сбер или трекеры • Отключи установку из сторонних источников и удали незнакомые APK/loader‑приложения • Ограничь права у приложений (SMS, accessibility, overlay) и запрети автозапуск подозрительным программам • Поставь MDM/EDR для мобильных, мониторь исходящий трафик на необычные WebSocket/HTTP‑запросы к C2 • Учи пользователей не вводить данные в всплывающие формы и не сканировать непроверенные QR P. S Мы все наблюдем тренд: малварь перестаёт быть «однозадачной». Теперь это гибридный инструмент. Кража + инфраструктурная нагрузка. #DeliveryRAT #Mobile #Безопасность 👍 Белый хакер

🎁 Уязвимости в ПЛК Fastwel: обновление решает важные проблемы Привет, знаком с программируемыми логическими контроллерами (ПЛК) от Fastwel? Если работаешь в промышленности, где используется оборудование вроде CPM723-01 и CPM810-03, то, думаю, тебе нужно срочно обновить прошивки. Эти устройства, которые нашли применение в нефтегазовой, железнодорожной и других отраслях, теперь требуют немалых усилий по защите. ✅ Недавно компания Fastwel выпустила обновления для своих ПЛК, устранив девять критических уязвимостей, которые могли привести к серьезным сбоям в работе технологических систем. Если у тебя такие контроллеры, знай: уязвимости оценены от 8,3 до 9,4 по шкале CVSS 4.0. Это потенциальные дыры, через которые могли бы залезть злоумышленники.

👨‍💻 Что именно исправили? Наиболее опасными были баги, позволяющие выполнить произвольный код в ОС контроллера. Злоумышленники могли взять под контроль ПЛК и использовать его для атаки на другие части системы. Важные моменты: злоумышленник мог получить права администратора, изменять конфигурацию и даже похищать учетные данные. При этом атаковать могли как внутренние, так и внешние злоумышленники с сетевым доступом.

👤 Мой совет — обновляй ПЛК до последних версий как можно быстрее. Также можно разделить сеть компании на сегменты и ограничить доступ к локальной сети АСУ ТП. Отключи веб-конфигуратор контроллера и неиспользуемые сетевые сервисы. Замени все стандартные пароли на сложные. Убедись, что доступ к ПЛК имеют только те сотрудники, которым он действительно нужен. P. S Даже если ты не работаешь с промышленными контроллерами, вспомни про важность сегментации сети. Внедри эту практику и для своих серверов. Это базовый шаг в защите от множества атак. #ПЛК #Безопасность 👍 Белый хакер